Zum Inhalt springen
  • facebook
  • linkedin
  • XING
Logo Online-Assistentin

ONLINE-ASSISTENTIN.net

NINA WEDEMEYER

  • Home
  • Kontakt
  • Blog
  • Über mich

Website schützen mit Two-Factor-Authentication

  • Home
  • Wordpress
  • Website schützen mit Two-Factor-Authentication
Login hier ohne Two-Factor-Authentication
Website schützen mit Two-Factor-Authentication
6. März 201819. November 2022 Nina Wedemeyer

Um auf eine geschützte Seite Zugriff zu bekommen, verwendet man in den allermeisten Fällen einen Usernamen und ein Passwort (oder eine PIN). In manchen Situationen ist das aber noch nicht sicher genug, insbesondere dann, wenn einerseits das Angriffsrisiko besonders hoch und andererseits der zu schützende Inhalt besonders wertvoll ist. In diesem Fall ist die zusätzliche Absicherung durch eine Two-Factor-Authentication (2FA) ratsam. Was das ist und wie man sie einsetzt, erfährst Du hier.

Was bedeutet “hohes Angriffsrisiko”?

Jedes System, auf das man von außen (also aus dem Internet) zugreifen kann, ist grundsätzlich anfällig für unberechtigte Zugriffsversuche. Manche Systeme sind besonders interessant, weil sie wertvolle Daten beinhalten, wie zum Beispiel Adressdaten oder Bank- bzw. Kreditkarteninformationen. Andere Systeme sind besonders interessant, weil sie wahrscheinlich leicht zu knacken sind, allein deshalb, weil sie sehr weit verbreitet und oft schlecht abgesichert sind. WordPress gehört auf jeden Fall zur letzteren Kategorie, aber manchmal auch zur ersten. Deswegen ist hier das Angriffsrisiko besonders hoch. Wenn Du ein Plugin installiert hast, das Deine Seite vor Angriffen schützt, siehst Du auch sehr bald, wie viele unautorisierte Zugriffsversuche es jeden Tag gibt.

Two-Factor-Authentication - Beispiel für unerlaubte Loginversuche
Beispiel aus der Praxis für ein “Grundrauschen” immer wiederkehrender Loginversuche auf der Standardseite “wp-login.php”

Wie werden WordPress-Seiten angegriffen?

Ein häufig gewählter Weg, sich unberechtigt Zugang zum Backend einer WordPress-Seite zu verschaffen, ist das Probieren der gängigsten Kombinationen aus Usernamen und Passwörtern. Erschreckend viele Seitenbetreiber ändern nach dem Errichten ihrer Seite niemals den Namen des Administrator-Users (meistens “admin” oder “administrator”) und verwenden dazu noch ein schwaches Passwort. Die sogenannten “Brute-Force-Attacken” versuchen darum, sich auf dem Standardweg in die Seiten einzuloggen. Mit den Tipps in dem Ratgeber “5 Tipps, wie Du Deine WordPress-Seite vor einem Brute-Force-Angriff schützt“ hast Du Deine Seite schon ein ganzes Stück sicherer gemacht. Aber es geht noch besser, denn das Bessere ist des Guten Feind. Hier tritt die Two-Factor-Authentication auf den Plan!

Was ist Two-Factor-Authentication?

Two-Factor-Authentication - Erweiterter Login
Erweiterter Login am Beispiel von “Google Authenticator”

Bei diesem Verfahren reicht die Eingabe von Username und Passwort allein nicht aus. Es ist noch ein zusätzlicher Code erforderlich, der in regelmäßigen Abständen neu erzeugt wird und danach nur begrenzte Zeit gültig ist. Diese Verbindung aus Username, Passwort und vorübergehend gültigem Code macht es unmöglich zu erraten, was die Zugangsdaten sind. Der Angreifer müsste innerhalb der wenigen Sekunden (meistens 20-30), die solch ein Code gültig ist, alle Kombinationen aus User und Passwort und zusätzlich alle Kombinationen aus diesen Paaren und dem z. B. sechsstelligen Code erraten. Faktisch nicht möglich.

Ein weiterer Vorteil ist, dass selbst jemand, der -auf welchem Wege auch immer- in den Besitz Deines Loginnamens und Passworts gekommen ist, sich damit nicht in Deine Website einloggen kann, wenn er diesen Code nicht hat.

Wie funktioniert das in der Praxis?

Du installierst auf Deiner WordPress-Seite ein entsprechendes Two-Factor-Authentication-Plugin, welches Deine Login-Seite um ein Eingabefeld für den Code erweitert. Du musst dann beim Anmelden Deinen Usernamen, das (hoffentlich starke) Passwort und den Code eingeben, den Dir ein zweites Gerät anzeigt (daher der Name “two factor”). Dafür gibt es verschiedene Lösungen. Professionelle Anbieter versenden an ihre Firmenkunden dafür zum Beispiel sogenannte “RSA-Tokens”. Das sind kleine Geräte, die nichts anderes tun, als auf einem Display in regelmäßigen Abständen eine neuen Codenummer anzuzeigen.

Für Endanwender praktischer ist dagegen eine Two-Factor-Authentication-App, die auf dem Smartphone das gleiche tut. Zwei Beispiele dafür sind die Apps Google Authenticator, oder Authy. Es gibt natürlich noch weitere, aber für diesen Beitrag verwenden wir beispielhaft Google Authenticator.

Two-Factor-Authentication - Einstellungen Google Authenticator
Beispiel für die Einstellungen von Google Authenticator in den WordPress-Benutzerdaten. Hier kannst Du je Benutzer einstellen, ob dieser eine Two-Factor-Authentication erfordert oder nicht.

Nachdem Du Dich für den jeweiligen Dienst registriert hast, erhältst Du von dem Anbieter einen Schlüssel, den Du in Deiner WordPress-Seite hinterlegst. Damit gleicht das Plugin den eingegebenen Code mit dem Code auf dem Server des Dienstanbieters ab. Denselben Schlüssel benötigst Du auch in der App, damit diese weiß, für welches Konto sie die Codes anzeigen soll.

Two-Factor-Authentication - Screenshot Google Authenticator App
Die Google-Authenticator-App zeigt aktuell einen Code an. Beachte das Kreissymbol, welches die verbleibende Gültigkeit anzeigt.

Für den Login auf Deiner Seite musst Du nun die App öffnen, den dort angezeigten Code in das zusätzliche Feld der Loginseite eingeben und Dich anmelden. Der Server gleicht dann den Code mit dem aktuell für Dein Konto gültigen Code ab und das Plugin gestattet Dir bei Übereinstimmung den Login. Beachte dabei die Anzeige in der App, wie lange der aktuelle Code noch gilt.

In “Grenzfällen” ist die App manchmal nicht synchron mit dem Server, und trotz einiger Sekunden verbleibender Gültigkeit kann der Code auf dem Server beim Klick auf den Login-Button schon abgelaufen sein. In dem Fall versuche es noch einmal, kurz nachdem die App den nächsten neuen Code anzeigt.

Nachteil: Wenn Du Dein Smartphone nicht dabei hast, oder aus irgendeinem anderen Grund nicht darauf zugreifen kannst, dann bist Du selbst auch ausgesperrt. Aber erhöhte Sicherheit kommt immer zu dem Preis eines verminderten Komforts. Was Dir wichtiger ist, musst Du selbst abwägen.

Links für die oben genannten Apps

WordPress-Plugins

Nicht jeder Anbieter hat auch ein eigenes Plugin.

Für Google Authenticator gibt es mehrere Plugins von Drittanbietern. Wir verwenden zum Beispiel Google Authenticator von Henrik Schack.

Alternative: Das Plugin Authy

Android-Apps

Google Authenticator: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

Authy: https://play.google.com/store/apps/details?id=com.authy.authy

iOS-Apps

Google Authenticator: https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8

Authy: https://itunes.apple.com/de/app/authy/id494168017?mt=8

Mal ehrlich, arbeitest Du schon mit einem Two-Factor-Authenticator und wie sind Deine Erfahrungen?

Sicherheit, Wordpress Login, Passwort, Sicherheit, Two-Factor-Authentication, Two-Way-Verification

Beitrags-Navigation

5 Tipps, wie Du Deine WordPress-Seite vor einem Brute-Force-Angriff schützt
Impressum bei XING und LinkedIn

Neueste Beiträge

  • Impressum bei XING und LinkedIn
  • Website schützen mit Two-Factor-Authentication
  • 5 Tipps, wie Du Deine WordPress-Seite vor einem Brute-Force-Angriff schützt

Neueste Kommentare

    Archive

    • April 2018
    • März 2018
    • Dezember 2017

    Kategorien

    • Allgemein
    • IT-Recht
    • Sicherheit
    • Wordpress

    Sitemap

    • Home
      • Einsatzgebiete
      • 4 gute Gründe
      • Preise
      • Zusammenarbeit
    • Kontakt
    • Blog

    Seiteninformationen

    • Cookie Policy
    • Datenschutzerklärung
      • Daten exportieren
      • Daten löschen
    • Impressum
    Copyright © 2023 ONLINE-ASSISTENTIN.net - In Zusammenarbeit mit Fjordkommission Flensburg
    Diese Website verwendet Cookies
    Diese Website verwendet Cookies. Durch die Nutzung dieser Website stimmst Du deren Verwendung zu.
    Du kannst mit den Buttons unten konfigurieren, welche Cookies Du annehmen möchtest und welche nicht.
    Annehmen Ablehnen Einstellungen Cookie-Richtlinien
    Cookie-Einstellungen

    Privacy Overview

    This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
    Necessary
    immer aktiv
    "Cookie Law"-Einstellungen - Speichert Deine Auswahl bezüglich der zugelassenen Cookies auf dieser Website
    Functional
    Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
    Performance
    Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
    Analytics
    Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
    CookieDauerBeschreibung
    _pk_id.b20df032-559e-4fdb-ac17-b0ae07b86c26.4bec12 MonateAnonymisierte User-ID zur Unterscheidung der einzelnen Seitenbesucher und Speicherung spezifischer Einstellungen je Besucher. Wird für einen Monat gespeichert.
    _pk_ses.b20df032-559e-4fdb-ac17-b0ae07b86c26.4bec30 MinutenSession-ID zur eindeutigen Identifizierung einer einzelnen aktiven Browser-Sitzung. Das Cookie wird für 30 Minuten gespeichert, solange die Session aktiv ist.
    Advertisement
    Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
    Others
    Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
    CookieDauerBeschreibung
    ppms_privacy_b20df032-559e-4fdb-ac17-b0ae07b86c261 yearSpeichert die Zustimmung oder Ablehnung des Seitenbesuchers zum Tracking. Wird für 12 Monate gespeichert.
    SPEICHERN & AKZEPTIEREN
    Unterstützt von CookieYes Logo